安全地共用雲端基礎架構

我們很高興宣布，現在可以安全地在帳戶之間共享基礎架構。您還可以定義對這些共享資源可以執行的操作，從而為您提供細粒度的控制。這項新功能將允許您與一個或多個其他帳戶共享各種資源集。我們將每個策略稱為存取控制清單（Access Control List），簡稱 ACL。您可以根據需要擁有任意數量的 ACL，且您所做的更改是即時生效的。更不用說，所有 ACL 都是完全免費使用的。

該框架旨在簡單、透明且易於維護。真正的安全來自於人們實際使用並積極維護的工具，因此我們在共享雲端基礎架構時也採用了這一原則。

我在下方附上了一個非常易於遵循的教學指南，以協助您快速上手並執行您的第一個 ACL，以及一個 YouTube 影片 演示。我自己也在我的帳戶中使用它們與同事共享資源，因此我相信您在開始使用時也不會有任何問題。此外，在最後我舉了幾個例子，說明您如何使用新的 ACL 框架。

安全共享的三個簡單步驟

那麼，讓我們開始吧。我們制定了一個簡單的三步流程來開始使用 ACL。您會發現新區段已經在您 webapp 的帳戶中上線了：

雲端 ACL：安全地共享雲端資源

步驟 1：建立標籤

首先，我們需要設定一個標籤來識別我們想要共享的資源。導覽至 webapp 的「標籤」（Tags）區段，然後點擊 ‘建立’ 按鈕。假設我們想要共享資料庫伺服器，並建立一個名為 database 的標籤：

建立新的雲端基礎架構標籤

我們現在已經建立了第一個標籤，您會注意到資源欄位下方顯示為 ‘0’，這意味著我們尚未標記任何資源：

雲端基礎架構標籤

步驟 2：標記雲端基礎架構

現在導覽至運算（compute）區段，選擇您要新增標籤的資料庫伺服器（請注意，如果您標記了某個伺服器，我們將自動標記與其關聯的任何硬碟和網路策略）：

使用標籤組織您的雲端伺服器

您現在可以看到這兩台資料庫伺服器已成功新增標籤：

帶有新標籤的資料庫雲端伺服器

步驟 3：建立存取控制清單

現在我們已經標記了基礎架構，準備好共享資源了。我們現在可以回到 ACL 區段，然後點擊建立以新增一個 ACL：

為您的雲端基礎架構建立 ACL

為您的存取控制策略命名，並設定您想要授予的權限。我將允許啟動/停止、開啟 VNC（對系統復原很有用）和編輯（這也需要列表權限）。我不打算允許附加或複製，因此該策略更多是關於按原樣管理伺服器，而不是擴充或對雲端伺服器設定進行重大變更：

初級資料庫管理員 ACL

現在，讓我們將 database 標籤新增到此 ACL：

將標籤附加到 ACL

最後，我們需要將我們的資料庫管理員新增到該策略中，當然還要儲存該策略：

將人員新增到您的 ACL

注意：出於安全原因，我們已將 UUID 進行模糊處理。

我們的 ACL 現在已啟用，並正在共享我們設定的資源。回到我的伺服器列表，您現在會注意到資料庫伺服器名稱前出現了一個圖示，表示它目前正在被積極共享：

處於啟用共享狀態的雲端伺服器

當然，在另一端，共享的雲端基礎架構現在應該會出現在我們資料庫管理員的帳戶中（在這種情況下，是 CloudSigma 的另一位共同創辦人 Patrick！）：

共享的雲端伺服器現在可見

接下來，您會注意到不同的圖示，用以區分與您的帳戶共享的資源，以及您與他人共享的資源。您也可以在 Patrick 的儲存區段中看到與伺服器關聯的硬碟：

共享雲端伺服器的硬碟

Patrick 現在可以開啟 VNC 以及我授予他的其他操作。在任何時候，我都可以使用 database 標籤來新增和移除基礎架構，或變更已授予的權限。此外，您可以為基礎架構新增多個標籤，因此您可以想像伺服器可能具有多個標籤，並針對它們發布了多個策略。

使用案例 1：外部承包商

您可能正在與開發新服務的外部承包商合作，您希望他們能夠存取該專案需要管理的基礎架構，但您不想給予他們對您的 CloudSigma 帳戶和基礎架構的完整存取權限。使用 ACLs，您現在可以安全地與他們共用所需的基礎架構，而不會妥協安全性。您所要做的就是為該專案建立一個標籤，我們稱之為 Project X。接下來，只需用新建立的 Project X 標籤標記您想要共用的所有資源。最後，前往 ACLs 區段並建立一個新的 ACL。決定您要共用哪些資源以及他們需要執行的操作，並透過提供他們的電子郵件和 UUID（您很可能需要向他們詢問其 CloudSigma UUID）將他們的帳戶新增到該 ACL 中。瞧！Project X 基礎架構現在將自動出現在他們的帳戶中。

現在，假設專案已準備就緒或承包商離開，您只需從資源中移除 Project X 標籤，它就不會再被共用，或者將外部承包商從 ACL 中移除（您可以將任意數量的人員新增到策略中，因此您可能希望保留該策略但剔除特定個人）。就是這麼簡單。

使用案例 2：資料庫管理員

在此範例中，您可能需要一個基於角色的權限集。因為這樣一來，您組織中具有特定角色的成員就可以存取他們所需的基礎架構，而無法存取超出其職責範圍的其他基礎架構。這與本篇貼文的指南中所概述的使用案例相同。

例如，假設您想允許您的資料庫管理員僅存取您基礎架構中的資料庫伺服器。這非常簡單，首先建立一個名為 ‘database’ 的標籤。其次，用這個 database 標籤標記您所有的資料庫伺服器。最後，建立一個 ACL 來設定您想要授予的權限，新增新建立的 database 標籤，然後將您的資料庫管理員帳戶詳細資料新增到該 ACL 中。搞定。

最重要的是，如果您有其他需要讓資料庫管理員存取的資料庫伺服器，您只需將 database 標籤新增到該伺服器即可。就是這樣，權限將即時自動從 ACL 延伸，您的資料庫管理員將在他們的帳戶中看到他們有權存取的新資料庫伺服器。或者，假設您想移除存取權限？只需移除 database 標籤等即可。

希望您會發現這個功能和我一樣實用。如果您需要任何協助，只需使用我們的線上即時對談支援，他們提供 24/7 全天候服務，並且非常熟悉 ACL 功能。

祝您使用愉快，

Robert